我从OWASP ZAP开始。配置代理并在OWASP ZAP中“捕获”网络http://webscantest.com/后,我将进行“蜘蛛”攻击
然后,在网站地图中,我找不到文件夹“ shutterdb”(存在),为什么?
另一方面,我尝试对URL http://webscantest.com/login.php进行模糊处理:在请求窗口中右键单击文本“ passwd = ZAP”
并添加播放量,然后单击“启动Fuzzer”
我们的结果显示“代码302,找到原因”,但响应大小为0个字节,“状态”中为空……这是什么意思?
在此先感谢您的评论。
答案 0 :(得分:0)
蜘蛛基本上可以识别页面中的所有超链接,并将它们添加到要访问的URL列表中,只要找到新资源,该过程就会以递归的方式继续进行。 https://github.com/zaproxy/zap-core-help/wiki/HelpStartConceptsSpider
这意味着即使存在' shutterdb '资源,如果没有指向该蜘蛛的超链接,蜘蛛也不会找到它。
关于 302 响应,它是URL重定向https://en.wikipedia.org/wiki/HTTP_302
的HTTP状态代码302找到的重定向状态响应代码表明所请求的资源已被临时移动到 Location 标头(/login.php)
给定的URL
HTTP/1.1 302 Found
Date: Mon, 25 Mar 2019 07:57:41 GMT
Server: Apache/2.4.7 (Ubuntu)
X-Powered-By: PHP/5.5.9-1ubuntu4.27
Expires: Thu, 19 Nov 1981 08:52:00 GMT
Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0
Pragma: no-cache
Set-Cookie: login_error=Bad+user+name+or+password; expires=Mon, 25-Mar-2019 09:57:41 GMT; Max-Age=7200
Location: /login.php
Content-Length: 0
Connection: close
Content-Type: text/html
Set-Cookie: NB_SRVID=srv140717; path=/